התוקפים משתנים: מעדיפים לפעול בשקט – יותר מאשר לתקוף בכופרות

פושעי הסייבר מעדיפים טקטיקות חמקניות ותקיפות בפרופיל סיכון נמוך, כמו גניבת אישורי כניסה, על פני מתקפות כופרה – כך לפי חטיבת X-Force של יבמ.

מחקר חדש של החטיבה, שניתח את המתקפות בשנה החולפת, העלה כי חל גידול בהיקף המתקפות על תשתיות קריטיות: המסחר בקודים לניצול החולשות הפופולריות ביותר מגדיל את הסיכון למתקפות נגד רשתות חשמל, בתי חולים ומתקני תעשייה.

מהמחקר, מדד X-Force Threat Intelligence לשנת 2025, עולה תמונה של שינוי מגמה בתחום מתקפות הסייבר: פושעי הסייבר מעדיפים טקטיקות חמקניות יותר ותקיפות בפרופיל נמוך כגון פריצה למערכות בעזרת גניבת זהות וסיסמאות (Credentials) על פני מתקפות כופר.

זינוק של 84%… במה?

המחקר מצא כי ב-2024 חל זינוק של 84% בהשוואה לשנה שלפניה במיילים שמאפשרים החדרת "גנבי מידע" (Infostealers) – שיטה שתוקפים נסמכים עליה כדי לגנוב זהויות, לפרוץ למערכות ולהשתלט על חשבונות. כמעט אחת מכל שלוש תקריות אשתקד הובילה לגניבת אישורים לצורך התחברות מהירה למערכות ולארגונים. נתונים מתחילת השנה הנוכחית חושפים עלייה גדולה עוד יותר – של 180% – בהשוואה ל-2023.

השכיחות של הודעות ספאם ונוזקות בסביבות ענן ציבורי. מקור: יבמ

לפי חוקרי הענק הכחול, פישינג וגניבות מידע הפכו את מתקפות הזהות לזולות ולכאלה שהתוקפים יכולים להפעיל באופן רחב ורווחי. "גנבי מידע" מאפשרים השתלטות על חשבונות וחילוץ מהיר של נתונים, מצמצמים את זמן התקיפה ומשאירים מעט ראיות פורנזיות. כך, ב-2024, לחמשת "גנבי המידע" המובילים לבדם היו יותר משמונה מיליון פרסומות בדארקנט. "מגמה זו מצביעה על מינוף של בינה מלאכותית להפצת 'גנבי מידע' בקנה מידה רחב", הסבירו החוקרים.

מגזר הייצור התעשייתי ממשיך להיות המותקף ביותר

עוד עולה מהמחקר כי 2024 הייתה השנה הרביעית ברציפות שבה מגזר הייצור התעשייתי היה המותקף ביותר. כמו כן, ארגוני תשתית קריטיות היוו היעדים של 70% מכלל המתקפות שלהן הגיבו אנשי יבמ אשתקד. יותר מרבע מהמתקפות הללו נגרמו מניצול חולשות במערכות הארגוניות.

סקירת הפגיעות והחשיפות (CVEs) המוזכרות ביותר בפורומים בדארקנט העלתה כי ארבע מ-10 החולשות המובילות קשורות לקבוצות תוקפים מתוחכמות, כולל גורמים המקושרים למדינות. "מגמה זו", ציינו החוקרים, "מגבירה את הסיכון לשיבושים, ריגול וסחיטה פיננסית בקנה מידה רחב. קודים לניצול החולשות הפופולריות ביותר נסחרו בגלוי בפורומים רבים – מגמה שמניעה שוק הולך וגדל של התקפות נגד רשתות חשמל, בתי חולים ומתקני תעשייה. שיתוף המידע הזה בין יריבים בעלי מוטיבציה פיננסית לבין יריבים ממדינות לאום מדגיש את הצורך ההולך וגובר בניטור הדארקנט, כדי לסייע באסטרטגיות הטלאות וניהול תיקונים (פאצ'ינג) ולזהות איומים פוטנציאליים לפני ניצולם".

עוד עולה מהמחקר כי הסתמכות על טכנולוגיה מדור קודם (לגאסי) ואיטיות תיקון של החולשות מהוות אתגר מתמשך עבור ארגוני תשתית קריטית: פושעי סייבר ניצלו נקודות תורפה ביותר מרבע מהתקריות שאליהן הגיבו החוקרים במגזר זה אשתקד.

השיטות המרכזיות ששחקני האיום השתמשו בהן כדי להשיג גישה לסביבות של הקורבנות שלהם. מקור: יבמ

מהו שיעור הירידה שנרשם באירועי הכופרה?

מתקפות הכופרה היוו את הנתח הגדול ביותר של שימוש בנוזקות ב-2024 – עם 28%. למרות זאת, מהדו"ח של יבמ עולה כי בסך הכול חלה ירידה באירועי הכופרה, בהשוואה ל-2023, ובמקומם זוהה גידול במתקפות הזהות. הסיבה היא, ככל הנראה, הלחץ הבינלאומי נגד כנופיות כופרה, שדוחף אותן לבחון מחדש את אפיקי התקיפה בסיכון גבוה, ואז להמיר אותן בפעולות מבוזרות יותר, שהן בעלות סיכון נמוך יותר.

עוד עולה מהדו"ח כי יותר פושעי סייבר בחרו לגנוב נתונים (18%) מאשר להצפין אותם (11%). זאת, כי טכנולוגיות זיהוי מתקדמות והגברת פעילות האכיפה לוחצות על פושעי הסייבר לאמץ נתיבי יציאה מהירים יותר מתוך המערכות, ולבצע מתקפות בפרופיל סיכון וחשיפה נמוך יותר.

ולסיום – AI: אמנם, ב-2024 לא היו מתקפות רחבות היקף על טכנולוגיות בינה מלאכותית, אולם חוקרי אבטחה עסוקים כיום בזיהוי ובתיקון נקודות תורפה בהן, לפני שפושעי הסייבר ינצלו אותן. חוקרי הענק הכחול כתבו כי "עם הגידול השנה באימוץ של טכנולוגיות AI יגדלו גם התמריצים של תוקפים לפתח ערכות כלים מיוחדות להתקפה המיועדות לבינה מלאכותית. בשל כך, אנחנו ממליצים לעסקים לאבטח את תשתיות הבינה המלאכותית שלהם כבר משלב ההקמה".